iptables防火墙

已于 2022-08-14 11:31:37 修改
阅读量899 收藏 62
点赞数 79
分类专栏: 服务器
于 2022-08-12 17:30:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Drw_Dcm/article/details/126307094
版权

目录

一、Linux包过滤防火墙概述

1.netfilter

2.riptables

3.包过滤的工作层次

二、iptables的表、链结构

1.规则链

2.5种规则链

3.规则表

4.4个规则表

三、数据包过滤的匹配流程

1.规则表之间的顺序

2.规则链之间的顺序

3.规则链内的匹配顺序

四、安全技术和防火墙

1.安全技术

(1)入侵检测系统(Intrusion Detection Systems)

(2)入侵防御系统(Intrusion Prevention System)

(3)防火墙( FireWall )

2.防火墙的分类

(1)按保护范围划分

(2)按实现方式划分

(3)按网络协议划分

(4)包过滤防火墙

(5)应用层防火墙

3.防火墙工具介绍

(1)iptables

(2)firewalld

(3) nftables

(4)netfilter中五个勾子函数和报文流向

五、iptables

1.iptables的组成概述

2.iptables组成

(1)五个表table:filter、nat、mangle、raw、security

(2)4条链:OUTPUT、FORWARD、PREROUTING、POSTROUTING

3.数据包的常见控制类型

4.添加、查看、删除规则等基本操作

一、Linux包过滤防火墙概述

1.netfilter

(1)位于Linux内核中的包过滤功能体系
(2)称为Linux防火墙的,"内核态”

2.riptables

(1)位于/sbinTiptables, 用来管理防火墙规则的工具
(2)称为Linux防火墙的“用户态”

3.包过滤的工作层次

(1)主要是网络层,针对IP数据包
(2)体现在对包内的IP地址、端口等信息的处理上

二、iptables的表、链结构

1.规则链

(1)规则的作用:对数据包进行过滤或处理
(2)链的作用:容纳各种防火墙规则_
(3)链的分类依据:处理数据包的不同时机

2.5种规则链

(1)INPUT:处理入站数据包
(2)OUTPUT:处理出站数据包
(3)FORWARD:处理转发数据包
(4)POSTROUTING链:在进行路由选择后处理数据包
(5)PREROUTING链:在进行路由选择前处理数据包

3.规则表

(1)表的作用:容纳各种规则链
(2)表的划分依据:防火墙规则的作用相似

4.4个规则表

(1)raw表:确定是否对该数据包进行状态跟踪
(2)mangle表:为数据包设置标记
(3)nat表:修改数据包中的源、目标IP地址或端口
(4)filter表:确定是否放行该数据包(过滤)

三、数据包过滤的匹配流程

1.规则表之间的顺序

raw> mangle > nat > filter

2.规则链之间的顺序

(1)入站: PREROUTING→INPUT
(2)出站: OUTPUT→POSTROUTING 
(3)转发: PREROUTING→FORWARD→POSTROUTING

3.规则链内的匹配顺序

(1)按顺序依次检查,匹配即停止(LOG策略例外)
(2)若找不到相匹配的规则,则按该链的默认策略处理

四、安全技术和防火墙

1.安全技术

(1)入侵检测系统(Intrusion Detection Systems)

       特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式。

(2)入侵防御系统(Intrusion Prevention System)

       以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式。(必经之路)

(3)防火墙( FireWall )

        隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.

2.防火墙的分类

(1)按保护范围划分

1)主机防火墙:服务范围为当前一台主机

2)网络防火墙:服务范围为防火墙一侧的局域网

(2)按实现方式划分

1)硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,如:华为, 山石hillstone,天融信,启明星辰,绿盟,深信服, PaloAlto , fortinet, Cisco, Checkpoint, NetScreen(Juniper2004年40亿美元收购)等

2)软件防火墙:运行于通用硬件平台之上的防火墙的应用软件,Windows 防火墙 ISA --> Forefront

(3)按网络协议划分

1)网络层防火墙:OSI模型下四层,又称为包过滤防火墙

2)应用层防火墙/代理服务器

最低0.47元/天 解锁文章
Drw_Dcm
关注
专栏目录
ebtables与iptables之间的交互技巧
sxd2001的博客
06-12 2091
ebtables与iptables之间的交互操作进行了分析,并剖析了broute的DROP不同用法之间的实质差异,避免broute的DROP起不到强制路由作用
Linux下ebtables和iptables
wgl307293845的博客
09-27 232
Ebtables has three tables: filter, nat and broute.
iptables详细讲解及用法
最新发布
wyf_wyf_001的博客
05-26 1415
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
iptables命令使用详解
weixin_46082443的博客
04-08 1202
iptables命令使用详解 iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。 环境 操作系统:CentOS7.3 ip地址:172.16.55.7 1.iptables中的“四表五链”及“堵通策略” A.“四表”是指,iptables的功能——filter, nat, mangle, raw. filter, 控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的
ebtables使用介绍
to_be_better_wen的博客
02-05 8091
ebtables的使用方法总结
iptables详解(图文)
热门推荐
Linux的成长历程
11-13 6万+
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、
iptables防火墙.doc
09-29
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
IPtables 防火墙详解
11-08
最全的iptables防火墙详解,从实战入手,分析各种应用场景。
Linux Ubuntu系统iptables防火墙配置
11-11
配置iptables防火墙的主要目的是保护服务器安全,防止未经授权的访问和恶意攻击,以及避免不必要的服务暴露,提高系统的稳定性和安全性。通过制定精确的规则,可以阻止非法探测,确保只有指定的主机能够访问特定的...
iptables防火墙应用指南
05-31
iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南
Ebtables/Iptables分析
Jason.Gong的专栏
11-06 7378
分析Ebtables/Iptables实现及命令。 ebtables和iptables都是linux系统下,netfilter的配置工具,可以在链路层和网络层的几个关键节点配置报文过滤和修改规则。 ebtables更侧重vlan,mac和报文流量。 iptables侧重ip层信息,4层的端口信息。 ebtables 命令实例: 1、显示table ebtables -t filter -L 显示f...
ebtables基本使用
瑞风轻拂
10-24 3万+
ebtables和iptables类似,都是Linux系统下网络数据包过滤的配置工具。既然称之为配置工具,就是说过滤功能是由内核底层提供支持的,这两个工具只是负责制定过滤的rules. ebtables即是以太网桥防火墙,以太网桥工作在数据链路层,ebtables来过滤数据链路层数据包。 2.6内核内置了ebtables,要使用它必须先安装ebtables的用户空间工具(ebtables-v2.
iptables命令详解和举例(完整版)
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
如何管理linux设备上的bridge(网桥)和docker bridge
My urban life
06-17 1688
什么是bridge(网桥)? bridge是一种技术,可以把一个linux设备上的两块网卡桥接在一起,如何对外表现为一个大的网卡接口,这样做有很多用途 比如你有两台设备,但是又没有路由器,那么把他们桥接在一起,可以共享其中一台的网络,这样两台都可以上网,这两台设备也可以是vm,不一定是物理设备 还有一种用途,就是监控两个设备的网络流量,比如用wireshark来监控他们间的流量 总的来讲,桥接就是将一台计算机插入到已经与较大网络(例如Internet)建立连接的另一台计算机上,然后让这台桥接上去的计算机可以
ebtables与iptables的区别(ebtables的简单应用)
u011029104的专栏
05-06 1701
ebtables和iptables类似,都是Linux系统下网络数据包过滤的配置工具。既然称之为配置工具,就是说过滤功能是由内核底层提供支持的,这两个工具只是负责制定过滤的rules. ebtables即是以太网桥防火墙,以太网桥工作在数据链路层,ebtables来过滤数据链路层数据包。2.6内核内置了ebtables,要使用它必须先安装ebtables的用户空间工具(ebtables-v2.0.6),安装完成后就可以使用ebtables来过滤网桥的数据包。参照用户实际要求,设置ebta...
iptables使用详解
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 79
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值